CVE-2024-44000: популярный плагин для WordPress вновь оказался под ударом
Как всего одна неверная настройка может поставить ваш сайт под угрозу?
В популярном плагине LiteSpeed Cache для WordPress обнаружена серьёзная уязвимость, которая может позволить злоумышленникам захватить учётные записи пользователей. Уязвимость, получившая обозначение CVE-2024-44000 с оценкой по шкале CVSS в 7.5 баллов, затрагивает версии до 6.4.1 включительно.
Исследователь из компании Patchstack Рафи Мухаммад отметил в своём отчёте, что уязвимость позволяет любому неавторизованному пользователю получить доступ к учётной записи любого авторизованного пользователя, включая администратора. Это может привести к установке вредоносных плагинов на сайт и прочим компрометациям.
Причиной уязвимости стал открытый доступ к файлу журнала отладки «/wp-content/debug.log», в котором содержатся чувствительные данные, такие как информация о cookie и активные сеансы пользователей. Это даёт возможность злоумышленникам получить доступ к учётной записи без авторизации.
Уязвимость не носит характер повсеместной угрозы, так как для её эксплуатации требуется, чтобы на сайте была активирована функция отладки, которая по умолчанию выключена. Однако, сайты, где эта функция была включена ранее и файл журнала не был удалён, подвержены риску.
Обновление плагина LiteSpeed Cache 6.5.0.1 перемещает файл журнала в новую папку, случайно генерирует имя файла и исключает запись данных о cookie. Пользователям рекомендуется проверить наличие файла «/wp-content/debug.log» и удалить его, если отладка была когда-либо активирована.
Также специалисты советуют добавить правило в «.htaccess», которое ограничит доступ к файлам журнала. Это снизит риск, если злоумышленники попытаются угадать новое имя файла методом подбора. Обнаружение уязвимости CVE-2024-44000 подчёркивают важность правильной настройки отладки и управления журналами, чтобы минимизировать риски утечки данных.
Примечательно, что это не первая уязвимость, выявленная в плагине LiteSpeed Cache за последний месяц. Так, ранее мы сообщали об уязвимости CVE-2024-28000, которая позволяет неавторизованному злоумышленнику получить доступ уровня администратора, потенциально затрагивая 5 миллионов веб-сайтов.